RANSOMWARE DEFENSE
Ing. Zamanta Anguiano
¿Por qué SEGURIDAD?
Indicador.
Número de Trámites y Servicios integrados a SEITS
RIESGO – Vulnerabilidades Identificadas
SEGURIDAD – Forma de Protección contra Riesgos
Objetivos de la Seguridad Integridad Disponibilidad Privacidad Protección
Protección y Clasificación de la información: Sensible Crítica Valiosa
DIGITALIZACIÓN de las instituciones para mejorar los objetivos de la misma sin limitar su acceso e implementación
IoT, CLOUD, Digitization
Situación Actual
Indicador.
Número de Trámites y Servicios integrados a SEITS
Se han presentando hasta Septiembre 2016, 170,000 ataques de los cuales el 60% han sido dirigidos a gobierno. El mas intenso hasta ahora en Junio con 5mil hits por seg.
En NL se estima un promedio de 7000 eventos de seguridad diarios y un evento de pérdida de información
El robo masivo de datos podría implicar el cambio de identidades; inhabilitar los sistemas de operación del gobierno, servicios a la población como agua potable, electricidad, cámaras de vigilancia, información personal de ciudadanos, vuelos, transporte en general, entre otros
Motivaciones detrás de las Amenazas y Brechas:
Indicador.
Número de Trámites y Servicios integrados a SEITS
Robo Médico de Robo de
Identidad
$20,000
Robo Regular de Identidad
$2,000
SSN
IdentidadesAve. $1~
Tarjetas de Crédito$0.25-$60
Info de Cuentas Bancarias$1000+
Dependiendo del tipo de cuenta y del balance
Perfil completo deidentidades
$500~
ExpedienteMédico$50+
Credencial de Seguro Social$20+
Source: EMC
La evolución de las Variantes de Ransomware
Indicador.
Número de Trámites y Servicios integrados a SEITS
La confluencia de encriptación fácil y eficaz, la popularidad de los kits de explotación y el phishing, y la disposición de las
víctimas a pagar han causado una explosión de variantes de ransomware.
PC Cyborg
2001
GPCoder
2005 2012 2013 2014
Fake Antivirus
2006
First commercial Android
phone
2007
QiaoZhaz
20081989 2015 2016
CRYZIP
Redplus
Bitcoin network launched
RevetonRansomlock
Dirty DecryptCryptorbitCryptographic LockerUrausy
Cryptolocker
CryptoDefenseKolerKovterSimplelockCokriCBT-LockerTorrentLockerVirlockCoinVaultSvpeng
TeslaCrypt
VirlockLockdroidReveton
ToxCryptvaultDMALockChimeraHidden TearLockscreenTeslacrypt 2.0
CryptowallSamSam
Locky
CerberRadamantHydracryptRokkuJigsawPowerware
73V3NKerangerPetyaTeslacrypt 3.0Teslacrypt 4.0Teslacrypt 4.1
El Problema del Ransomware
Indicador.
Número de Trámites y Servicios integrados a SEITS
1. El Ransomware gana acceso a los sistemas a través de la web, correo electrónico, servidores
2. El Ransomware toma el control de esos sistemas, y convierte los datos de estos sistemas en "rehenes" hasta que el propietario / empresa se compromete a pagar el "rescate" (bitcoins) para liberar el sistema.
Problema: Los clientes son tomados como rehenes por el malware que bloquea los recursos críticos - Ransomware
• Hospitales cuidando de los pacientes y perdiendo la capacidad de darles cuidado en tiempo real (admisión, cirugías, medicamentos, etc.)
• La seguridad pública no puede responder al 911 o las llamadas de emergencia
• Sistemas bancarios financieros se desconectan de las actividades comerciales o bancarias
• Venta en supermercados que no procesa pagos, clientes que no pueden comprar
Efecto: Esto puede ser catastrófico para las empresas por un período de tiempo
Infección típica de Ransomware
Indicador.
Número de Trámites y Servicios integrados a SEITS
Solicitud de un
”Rescate” (Ransom)
Encripción de los
Archivos
C2 Comms e intercambio de
una llave Asimétrica
Vector (Modo)
de Infección
El Ransomware utiliza frecuentemente la web y el correo electrónico
El Ransomware toma el control de los sistemas objetivo
El Ransomware mantiene a esos sistemas como 'rehenes'
El propietario / empresa se compromete a pagar el "rescate" (bitcoins) para liberar el sistema
Problema: Los clientes pueden ser tomados como rehenes por el malware que bloquea los recursos críticos
Ataque contra Dyn.com – 21/Oct/2016
Indicador.
Número de Trámites y Servicios integrados a SEITS
• ActBlue
• Box
• Business Insider
• CNN
• Disqus
• Esty
• Github
• Guardian.co.uk
• HBO Now
• Iheart.com (iHeartRadio)
• Imgur
• Intercom
• Intercom.com
• Netflix
• Customer Sites
• Starbucks rewards/gift
cards
• The Verge
• Twillo
• Urbandictionary.com
• Weebly
• Weather.com
• Wired.com
• Xbox.com
• Yammer
• Yelp
• Zendesk.com
• Zoho CRM
¿Qué tiene que ver con Ransomware?
Indicador.
Número de Trámites y Servicios integrados a SEITS
•100,000 dispositivos atacando simultáneamente
•Desde 164 diferentes países tales como Brasil o Vietnam
•Y en su gran mayoría eran Cámaras de Video Vigilancia y DVR’s infectados con malware que fueron “secuestrados” y atacaron el sitio DynDNS
•¿Está seguro que sus tabletas, Cámaras de Seguridad, Impresoras, Sensores Inteligentes o Tableros Interactivos no han sido hackeados?
Y cuando creíamos que el Ransomware aun no estaba cerca de nosotros – 22 Enero 2017
Indicador.
Número de Trámites y Servicios integrados a SEITS
• Sistema de llaves electrónicas hackeado
• Pago de 2 Bitcoins
• 180 huéspedes sin poder abrir puertas
Ataque Masivo de Ransomware WannaCry y ahora Petya
Indicador.
Número de Trámites y Servicios integrados a SEITS
El malware WannaCry responsable por este cyber-ataque. Se detectaron comunicaciones a un dominio hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Explota una vulnerabilidad en Windows para esparcirse automáticamente (sin necesidad de interacción del usuario).
Cifra los datos sensibles de sus objetivos; a las víctimas se les solicita un pago de 300 dólares en bitcoins para recuperar sus archivos, si no podrían ser destruidos para siempre.
El viernes 12 de Mayo, se identificó un ataque que ha afectado a 200,000 usuarios en 150 países, organizaciones como Teléfonica España, el National Health Service en UK, y Fedex en US fueron severamente afectadas.
Mas información: http://blog.talosintelligence.com/2017/05/wannacry.html
ANATOMÍA DE UN ATAQUE
Indicador.
Número de Trámites y Servicios integrados a SEITS
“Anatomy of an Attack”
Video
https://www.youtube.com/watch?v=7RfLGngLsSs
¿Cómo funciona Ransomware: la mayoría de las variantes requieren los 5 pasos?
Indicador.
Número de Trámites y Servicios integrados a SEITS
Archivos Inaccesibles
Llave de Encripción –
Infraestructura de C2
Usuario da Clicks a una Liga o Malvertising
Descarga de Ransomware
Infraestructura Maliciosa
Email c/ Attachment Malicioso
INFECCIÓN BASADA EN EMAIL
INFECCIÓN BASADA EN WEB
!
!
Archivos Inaccesibles
Llave de Encripción –
Infraestructurade C2
Descarga de Ransomware
Puntos Clave Tecnológicos en la Contención de Ransomware
Indicador.
Número de Trámites y Servicios integrados a SEITS
El Antivirus tradicional NO es suficiente - es momento de tener visibilidad interna, retrospección, análisis de Dia Cero nativo, integración y automatización
DNS es el nuevo vector, asumámoslo - la visibilidad y el control de las consultas de dominio es una necesidad
La segmentación de la red y la automatización deben ser parte de la estrategia de seguridad, es necesario un esquema sencillo para la segmentación dinámica y autorización dinámica - Botón Rojo para Respuesta a Incidentes
Email Spam está creciendo rápidamente por ejemplo método Dridex (documentos Office) – se requiere tener una solución eficaz para inspeccionar todos los archivos tratando de entrar.
Punta a Punta “Kill Chain” ARQUITECTURA de Defensa
Indicador.
Número de Trámites y Servicios integrados a SEITS
OBJETIVO BRECHACOMPROMETIDO
DNS
DNS-Layer
Security
WebSecurity
EmailSecurity
NGIPS
ARRANQUE
HostAnti-
Malware
INSTALACIÓN
NGIPS
NGFW
NetworkAnti-
Malware
EXPLOTA
DNS
DNS-Layer
Security
WebSecurity
NGIPS
LlAMADA
NGIPS
NGFW
RECON
FlowAnalytics
PERSISTENCIA
Threat Intelligence
RASTREO
Trayectoria del
Archivo
ATACANTE
INFRAESTRUCTURA USADA POR EL ATACANTE ARCHIVOS /
DESCARGAS USADAS POR EL ATACANTE
Pero cómo podemos obtener respuestas y tomar medidas
Indicador.
Número de Trámites y Servicios integrados a SEITS
Visibilidad Control
Contención rápida de amenazas
Indicador.
Número de Trámites y Servicios integrados a SEITS
Obtener respuestas más rápido y detener los ataques más rápido
Visibilidad Control
Abierta Integrada Automatizada RápidaEscalable
Protección en la Red y en los Endpoints
Indicador.
Número de Trámites y Servicios integrados a SEITS
No solo es identificarlos si no identificar la trayectoria en la red y/o dispositivos, búsqueda elástica y control de brotes. En este ejemplo se muestra en cuarentena de malware detectado recientemente en un dispositivo que tiene instalado el conector AMP para Endpoints
En los Endpoints
En vectores de entrada Email o Web
En la Red
WWW
Ofrecer seguridad IoE
Indicador.
Número de Trámites y Servicios integrados a SEITS
INTERNET
MALWAREC2/BOTNETSPHISHING
AV
AV
AV AV
ROUTER/UTM
AV AV
ROUTER/UTM
SANDBOXPROXY
NGFWNETFLOW
AV AV
AV AV
CAPA MEDIA
ÚLTIMA CAPA
CAPA MEDIA
ÚLTIMA CAPA
CAPA MEDIA
PRIMERA CAPA
Perímetro
Perímetro Perímetro
Endpoint
Endpoint
DNSRETOSDemasiadas alertas de los appliances y del AV
Tienes que esperar hasta que se dispare el ataque
Demasiado tiempo de implementación
BENEFICIOSAlertas se reducen 2-10x; Mejora la detección de Incidentes
El tráfico & la carga de trabajo no logran conexión al sitio contaminado
Crear un esquema de visibilidad y contención independientemente de la red, usuario, dispositivo o servicio - Cubrir el paraguas de la Seguridad Perimetral Actual y eliminar amenazas a través del vector DNS
Conclusión - Arquitectura
Indicador.
Número de Trámites y Servicios integrados a SEITS
INTERNET
Dentro de la Red
TODO EL
OTRO TRÁFICO
TRÁFICO WEB
TRÁFICO EMAIL
INTERNETTODO EL
OTRO TRÁFICO
TRÁFICO WEB
TRÁFICO EMAIL
Fuera de la Red
NGFWDPI/bloquea por IP, URL,paquete, o archivo
Emailbloquea por remitente,
contenido, o archivo
WebProxy/bloqueo por URL, contenido, o archivo
Emailbloquea por remitente,
contenido, o archivo
Webproxy/bloqueo por URL, contenido, o archivo
DNS Umbrellaresolve/block by domain, IP, or URL
DNS Umbrellaresuelve/bloquea por dominio, IP, o URL
AntiMalwareENDPOINT
Revisa/bloquea hash
AntiMalware ENDPOINT
Revisa/bloquea hash
Recomendaciones a las Instituciones
Indicador.
Número de Trámites y Servicios integrados a SEITS
”Debemos tratar los datos personales electrónicos con el mismo cuidado y respeto que armas de plutonio, son peligrosos, duraderos y una vez filtrados no hay vuelta para atrás” Cory Doctorow
1. Construir sensibilización en el usuario. • Educación regular es necesaria para asegurarse de que la
seguridad está presente en las mente del staff.
2. Asumamos que las brechas ya existen.• ¿Si supieran que iban a estar en peligro, implementaría su
seguridad de forma diferente?
3. Dar prioridad a la higiene cibernética.• No pasar por alto la importancia de los controles de seguridad
fundamentales
Top Related